《商业银行信息科技风险动态监测规程(征求意见稿)概要》由会员分享,可在线阅读,更多相关《商业银行信息科技风险动态监测规程(征求意见稿)概要(26页珍藏版)》请在金锄头文库上搜索。
1、商业银行信息科技风险动态监测规程(征求意见稿)第一章 总则第一条 为加强商业银行信息科技风险监管的及时性和前瞻性,实现对商业银行信息科技风险的持续和动态监测,根据中华人民共和国银行业监督管理法、中华人民共和国商业银行法以及其他相关法律法规,制定本规程。第二条 信息科技风险动态监测是针对商业银行信息科技活动中的重点风险领域,通过选取关键风险指标,持续开展风险监测,动态跟踪风险趋势、前瞻研判风险态势并及时采取监管措施的过程。第三条 信息科技风险动态监测遵循分级负责、属地监管、重在法人、风险为本的原则。第四条 信息科技风险动态监测体系由监测指标、监测数据管理、指标运用及监测工作流程组成。第五条 本规
2、程适用于在中华人民共和国境内依法设立的商业银行,包括中资商业银行、外资独资商业银行和中外合资银行。政策性银行、农村信用社、农村合作银行、村镇银行以及经银监会及其派出机构批准成立的其他银行业金融机构参照执行。第二章 动态监测指标选取原则及分类第六条 信息科技风险动态监测指标由商业银行信息科技基础运行数据经采集、加工、计算形成,综合反映了商业银行信息科技风险水平及风险管控能力。第七条 监测指标选取遵循以下四个原则:(一)代表性:能够反映商业银行信息科技风险水平和控制效果,体现信息科技对业务的支撑能力;(二)综合性:能够涵盖商业银行信息科技风险存在的主要环节,反映信息系统多种要素的风险状况;(三)敏
3、感性:能够通过指标波动直接体现商业银行信息科技风险水平的变化情况;(四)可获取性:能够通过商业银行信息系统直接获取或通过定量计算间接获取,具备明确、可靠的数据来源。第八条 商业银行信息科技风险动态监测指标分为稳定性指标、安全性指标和规模性指标三类。其中稳定性指标、安全性指标直接反映商业银行信息科技风险状况,规模性指标主要反映信息科技对业务的支撑能力,间接反映商业银行信息科技风险状况。第三章 动态监测指标体系第九条 稳定性指标表示商业银行信息系统对业务提供支持和满足业务需求的有效、可靠程度,包括系统可用率、系统交易成功率、投产变更成功率等。(一)系统可用率为信息系统实际提供服务时间与应提供服务时
4、间之比,用于衡量信息系统对业务连续服务提供支撑的有效程度,系统可用率影响客户使用体验,并综合反映商业银行在系统设计、运维管理、基础设施配套、应急处置等方面的管理能力。(二)系统交易成功率为信息系统成功处理的交易量与处理交易总量之比,用于衡量信息系统正常响应业务请求的有效程度,综合反映商业银行在系统设计、软件开发、运维管理、基础设施配套等方面的管理能力。(三)投产变更成功率为商业银行成功实施信息系统投产、变更数量与实施信息系统投产、变更总量之比,用于衡量商业银行投产变更管理的有效程度,综合反映商业银行在软件开发、运行维护、应急处置、项目及变更管理等方面能力。第十条 安全性指标用于衡量商业银行对安
5、全威胁的抵御能力与安全事件的处置能力,包括假冒网站查封率、外部攻击变化率和信息安全事件数量。(一)假冒网站查封率为已查封的假冒网站数量与已知的假冒网站数量之比,用于衡量商业银行对假冒网站的处置进展及其客户可能因假冒网站遭受欺诈威胁的程度,综合反映商业银行处置假冒网站的积极性与承担社会责任的意识。(二)外部攻击变化率为商业银行遭受外部攻击当期告警增加数量与上期告警数量之比,用于衡量商业银行外部攻击威胁的客观变化,综合反映商业银行信息系统外部风险的变化程度。(三)信息安全事件数量为信息系统中断造成服务不可用次数、违规操作事件次数、病毒爆发事件次数、自然灾害事件次数、网络中断事件次数、基础设施不可用
6、事件次数及其他安全事件次数之和,用于衡量商业银行在面对内外部安全威胁时,保持信息系统可用性、完整性、机密性的能力,综合反映商业银行信息安全现状。 第十一条 规模性指标用于衡量商业银行主要电子渠道发展规模,反映商业银行主要电子渠道业务发展水平、电子渠道业务承受的压力及相关信息科技风险事件可能产生的社会负面影响程度,包括主要电子渠道交易变化率和主要电子渠道活跃用户、账户变化率。(一)主要电子渠道交易变化率为商业银行全辖当期主要电子渠道交易量与上期主要电子渠道交易量之比,用于反映商业银行主要电子渠道交易规模总量及变化趋势。(二)主要电子渠道活跃用户、账户变化率为商业银行全辖当期主要电子渠道活跃用户、
7、账户数与上期主要电子渠道活跃用户、账户数之比,用于反映商业银行主要电子渠道活跃用户、账户总量及变化趋势。第四章 数据管理第十二条 商业银行应建立与本规程相配套的信息科技风险动态监测工作机制和管理流程,准确、及时提供动态监测指标相关源数据。第十三条 商业银行应根据自身发展状况建立与本规程相适应的监测统计信息系统,按照动态监测指标的相关要求采集相关源数据,并能够根据计算模型按照机构、产品、系统等不同维度和统计周期生成监测数据。第十四条 信息科技风险动态监测指标源数据采集范围应涵盖商业银行全辖(总行及各级分支机构)和各类重要信息系统,采集数据要全面、真实。 第十五条 商业银行应确保监测指标数据来源的
8、连续性、一致性以及可追溯性,并至少存留最近三年历史数据。 第十六条 商业银行应明确信息科技风险动态监测数据报送的归口管理部门,并对报送数据的真实性和有效性负责。 第十七条 银监会及其派出机构应督促、指导商业银行逐步建立并完善相关工作机制和流程,开展动态监测信息系统建设,提高数据采集的自动化程度,减少数据生成过程中的人为干扰因素。对于确需人工填报的环节,应在流程和系统设计中满足后续检查和审计的需要。第十八条 银监会及其派出机构信息科技监管部门负责审核商业银行报送的动态监测指标数据,并对报送数据质量进行考核。第五章 指标运用第十九条 商业银行应将信息科技风险动态监测指标纳入全行风险监测体系,建立信
9、息科技风险动态监测指标分析预警模型,持续跟踪信息科技风险动态监测指标变化趋势,形成书面报告,定期向商业银行董事会和高管层报告。第二十条 商业银行董事会和高管层应定期审查信息科技风险动态监测报告,运用检查、监督、考核等手段督促相关部门采取有效措施实施整改。 第二十一条 商业银行信息科技部门应根据动态监测指标结果,对本机构信息系统进行综合评价,并将评价结果与商业银行信息科技发展规划相结合。第二十二条 商业银行信息科技部门应持续跟踪动态监测指标及其变化趋势,重点关注指标数值或变化趋势存在异常的监测指标,深入分析指标异常的原因,采取相应的应急处置措施,并将处置方案和工作进度及时报送商业银行风险管理部门
10、、银监会或其派出机构。第二十三条 银监会及其派出机构信息科技监管部门应明确信息科技风险动态监测工作岗位,制定人员岗位职责。第二十四条 银监会及其派出机构信息科技监管部门应建立分析预警模型,按照区域分布、机构类别、单家机构等不同维度对信息科技风险动态监测指标进行分类监测,定期形成风险分析报告,对于发现的突出共性风险问题,要开展行业通报。第二十五条 银监会及其派出机构信息科技监管部门可根据单家机构动态监测指标监测情况,采取约谈、现场检查等途径对相关情况进行核实,并通过风险提示、监管会谈等方式将风险监测结果及时通报商业银行,督促其采取有效措施,做好风险防范和整改工作。对于监测中发现的重大信息科技风险
11、隐患,信息科技监管部门应及时通报机构监管部门,并可视情况采取联合监管行动。第二十六条 银监会及其派出机构信息科技监管部门应将动态风险监测指标分析结果作为商业银行年度信息科技监管评级的参考信息。 第二十七条 银监会信息科技监管部门建立信息科技风险动态监测工作的激励考核机制,定期发布行业基准参考值,对指标领先的机构树立标杆,总结良好实践并予以推广。第六章 附则第二十八条 附件是本规程的组成部分,规定了信息科技风险动态监测指标口径说明。第二十九条本规程由银监会负责修订和解释。第三十条 本规程自 年 月起试行。附件:1、商业银行信息科技风险动态监测指标一览表 2、商业银行信息科技风险动态监测指标口径说
12、明附件1商业银行信息科技风险动态监测指标一览表一级监测指标二级监测指标三级监测指标系统可用率ATR核心业务系统可用率无综合前置系统可用率银行卡系统可用率网上银行系统可用率电话银行系统可用率手机银行系统可用率大额实时支付前置系统可用率小额批量支付前置系统可用率第三方存管系统可用率国际结算系统可用率系统交易成功率TSR核心业务系统交易成功率账务类交易成功率非账务类交易成功率综合前置系统交易成功率大额实时支付渠道交易成功率小额批量支付渠道交易成功率ATM渠道交易成功率POS渠道交易成功率代收缴费渠道交易成功率第三方存管渠道交易成功率银行卡系统交易成功率电话银行渠道交易成功率手机银行渠道交易成功率AT
13、M渠道交易成功率POS渠道交易成功率网上银行系统交易成功率银联渠道交易成功率超级网银渠道交易成功率大额实时支付渠道交易成功率小额批量支付渠道交易成功率第三方支付渠道交易成功率电话银行系统交易成功率无手机银行交易成功率无投产变更成功率DCSR投产、变更成功实施数量无投产、变更实施总数量无假冒网站查封率CFWR假冒网站已查封数量无假冒网站发现数量无外部攻击变化率EACCR当期外部攻击次数当期入侵监测系统告警数当期入侵保护系统告警数上期外部攻击次数上期入侵监测系统告警数上期入侵保护系统告警数安全事件数量ISE信息系统中断造成服务不可用次数核心业务系统服务不可用次数综合前置系统服务不可用次数银行卡系统
14、服务不可用次数网上银行系统服务不可用次数电话银行系统服务不可用次数手机银行系统服务不可用次数大额实时支付系统服务不可用次数小额批量支付系统服务不可用次数ATM前置系统服务不可用次数POS前置系统服务不可用次数柜面系统服务不可用次数信贷系统服务不可用次数个贷系统服务不可用次数基金系统服务不可用次数债券系统服务不可用次数第三方存管系统服务不可用次数第三方支付系统服务不可用次数国际结算系统服务不可用次数违规操作事件次数无病毒爆发事件次数无自然灾害事件次数无网络中断事件次数无基础设施不可用事件次数无其他安全事件次数无主要电子渠道交易变化率MECTCR当期主要电子渠道交易量网上银行交易量电话银行交易量手
15、机银行交易量大额实时支付交易量ATM交易量POS交易量上期主要电子渠道交易量网上银行交易量电话银行交易量手机银行交易量大额实时支付交易量ATM交易量POS交易量网上银行交易量主要电子渠道活跃用户、账户变化率 MEAUAR当期主要电子渠道活跃用户、账户数网上银行活跃用户数电话银行活跃用户数手机银行活跃用户数大额实时支付渠道活跃账户数小额批量支付渠道活跃账户数ATM活跃账户数POS活跃账户数上期主要电子渠道活跃用户、账户数网上银行活跃用户数电话银行活跃用户数手机银行活跃用户数大额实时支付渠道活跃账户数小额批量支付渠道活跃账户数ATM活跃账户数POS活跃账户数附件2 商业银行信息科技风险动态监测指标口径说明一、系统可用率l 指标的属性:稳定性指标。l 指标风险含义:系统可用率Available time rate of a system, ATR用
